Sikkerhetssertifikat Advarsler virker ikke, forskere sier

Hver web-surfer har sett dem. De "ugyldige sertifikat" advarslene du noen ganger får når du prøver å besøke et sikkert nettsted.

De sier ting som "Det er et problem med dette nettstedets sikkerhetssertifikat." Hvis du er som de fleste, kan du føle deg vettig urolig, og ifølge en ny avhandling fra forskere ved Carnegie Mellon University - er det en god sjanse for at du vil ignorere advarselen og klikke gjennom uansett.

I en laboratorieeksperiment, fant forskerne at mellom 55 prosent og 100 prosent av deltakerne ignorerte sikkerhetsadvarsler for sertifikater, avhengig av hvilken nettleser de brukte (forskjellige nettlesere bruker forskjellige språk til å advare brukerne).

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Alle visste at det var et problem med disse advarslene," sa Joshua Sunshine, en student fra Carnegie Mellon og en av papirets medforfattere. "Vår studie viste dramatisk hvor stort problemet var."

Det er ikke gode nyheter. Ofte oppstår advarslene på grunn av et teknisk problem på nettstedet, men de kan også bety at web-surferen blir omdirigert til en falsk nettside. Nettadresser for sikre nettsteder begynner med "https."

Forskerne gjennomførte en online-undersøkelse av mer enn 400 web surfere, for å lære hva de trodde om varslingsvarsler. De førte da 100 mennesker inn i et laboratorium og studerte hvordan de surfer på nettet.

De fant at folk ofte hadde en blandet forståelse av sertifikatadvarsler. For eksempel trodde mange at de kunne ignorere meldingene når de besøker et nettsted de stoler på, men at de burde være mer forsiktige på mindre pålitelige nettsteder.

"Det er litt av en bakoverforståelse av hva disse meldingene betyr," sa Sunshine. "Meldingen bekrefter at du besøker nettstedet du tror du besøker, ikke at nettstedet er pålitelig."

Hvis et bankwebområde viser en melding om at sikkerhetssertifikatet er ugyldig, er det et veldig dårlig tegn, sier sikkerhetseksperter. Det kan bety at Internett-surferen blir utsatt for et såkalt man-i-midten-angrep. I denne typen angrep setter kriminelisten seg inn mellom websurfaren og nettstedet han besøker, i håp om å stjele informasjon.

Sikkerhetseksperter har lenge kjent at disse sikkerhetsadvarsler er ineffektive, sier Jeremiah Grossman, sjefsteknologsjef med Web sikkerhetskonsulent White Hat Security. Det er fordi brukere "virkelig ikke vet hva sikkerhetsrisikoen betyr," sa han via direktemeldinger. "Så de tar sjansen."

I Firefox 3-nettleseren prøvde Mozilla å bruke enklere språk og bedre advarsler for dårlige sertifikater. Og nettleseren gjør det vanskeligere å ignorere en advarsel om dårlig sertifikat. I Carnegie Mellon-laben var Firefox 3-brukere minst mulig å klikke gjennom etter å ha blitt vist en advarsel.

Forskerne eksperimenterte med flere nyutviklede sikkerhetsadvarsler de hadde skrevet seg, noe som syntes å være enda mer effektivt. De planlegger å rapportere sine funn 14. august på Usenix Security Symposium i Montreal.

Likevel mener Sunshine at bedre advarsler bare vil hjelpe så mye. I stedet for advarsler bør nettlesere bruke systemer som kan analysere feilmeldingene. "Hvis disse systemene bestemmer at dette er sannsynlig å være et angrep, bør de bare blokkere brukeren helt," sa han.

Selv når man besøker viktige nettsteder som banker, "er folk fortsatt dramatisk ignorert advarslene," sa han.